Fortinet FortiGate虚拟机实施和管理
计划
FortiGate®虚拟机(VM)有多种尺寸和许可选项。 许可证大小限制了可运行的虚拟 CPU 数量。 例如,FortiGate–VM08 最多允许您使用 8 个虚拟 CPU。 以下许可包可供选择。
- 标准 FW
- 标准 FW + 统一威胁管理
- 标准 FW + Enterprise
有关各许可证层和捆绑包功能的更多信息,请参阅 FortiGate–VM 上 VMware ESXi 数据表。
规格
FortiGate虚拟机设备按照以下规范部署。
| 组件 | 规范 |
|---|---|
| vCPU | 由所选许可证级别决定 |
| vRAM | 对于2–CPU部署,初始分配为 4 GB;对于4–CPU部署,初始分配为 6 GB;对于所有其他部署,初始分配为 12 GB |
| 高可用性 | 部署了两个设备以确保高可用性(HA) |
| 磁盘使用情况 | 一个 2 GB 和一个 30 GB 磁盘 |
| 磁盘备份 | 部署到网关群集时,使用本地 SSD 存储;部署到任何其他群集时,根据情况使用 vSAN 或 IBM Cloud® 耐用性 |
IBM Cloud 自动化限制了您在网关群集中部署 FortiGate 时选择 16 和 32–CPU 选项。
网络配置
FortiGate 虚拟设备部署有 10 个网络接口。
管理接口
管理接口连接到相应群集的管理 VLAN 和端口组,并由 IBM Cloud 自动化为该接口分配一个管理 IP 地址。 请勿重新分配或重新配置此管理接口。
当部署到具有公共接口的管理群集时,会在 NSX Edge™ 服务上创建防火墙和源 NAT 规则,以允许 FortiGate 设备仅使用 http 和 https 连接到公共网络。 它允许许可证管理,不建议更改这些规则,因为这可能会导致您的许可证被停用。
部署到网关群集或只有专用接口的管理群集时,必须提供代理服务器的详细信息,FortiGate设备可使用该代理服务器连接到公共网络以获得许可。 设备可能会尝试访问以下任何主机名:
update.fortiguard.netservice.fortiguard.netsupport.fortinet.comguard.fortinet.com
HA 接口
部署到管理群集时,FortiGate设备的 HA 接口会连接到专用逻辑交换机。
部署到网关群集时,FortiGate 设备的 HA 接口会连接到网关群集使用的存储 VLAN。
防火墙接口
部署到管理群集时,FortiGate设备的其余防火墙接口连接到管理网络,但未分配 IP 地址。 您必须将这些接口分配给要保护的网络。
当部署到网关集群时,FortiGate 虚拟机设备连接到 IBM Cloud 传输网络,并配置为与 IBM Cloud 客户路由器对等。 在配置 VLAN 受网关群集保护之前,请定义适当的防火墙规则。
VMware DRS 和预订
FortiGate虚拟机提供时间敏感的网络服务,因此必须对其进行配置,以确保其拥有足够的资源。 IBM Cloud自动化配置了一个预留,以确保虚拟设备获得全部分配的 CPU 和内存。 为了确保 HA IBM Cloud还创建了一个 DRS 反亲和规则,以限制两个 FortiGate 虚拟设备在同一主机上运行。
许可证要求
此架构需要从 Fortinet® 获得 FortiGate 虚拟机许可。IBM Cloud 自动化根据您选择的许可层级和部署规模提供 FortiGate 虚拟机许可。 您的 IBM Cloud 月账单反映了您订购和持续使用 FortiGate 虚拟机的情况。 FortiGate虚拟设备需要与 Fortinet 许可服务器进行出站连接,以激活和维护其许可。
注意事项
FortiGate虚拟机部署后,无法更改其许可层级或许可吞吐量。 要实现这一方案,您必须部署 FortiGate VM 的新实例,将配置迁移到新实例,然后删除原来的实例。